Du beziehst dich nur auf das Scannen, aber das ist überhaupt nicht alles:

• wo ordnet dann das oben genannte Tool den „Basic-Fingerprint“ eines jeden Device pro gescannter physikalischer Adresse den Hersteller und den Typ (Artikel) zu?
• Und wo importiert das Programm dann aus den Herstellerseiten die Applikation, passend zu dem gescannten Gerät?
• Wo setzt das Programm dann in die Applikation auch noch das Bau-Passwort?
• Welches Tool programmiert dann die Applikation mit Bau-Passwort pro physikalischer Adresse

Wer macht das? Das geht auch nur händisch! Und dauert bei 200 Geräten dutzende Stunden.
Fernab: ich gehe stark davon aus, dass das Bau-Passwort nur durch die ETS gesetzt werden kann; und nicht durch irgendein Script. Folglich musst du den ganzen Kram ohnehin in die ETS bugsieren, um den Schaden überhaupt anrichten zu können. Mit den Codeschnipseln kommst du vermutlich nicht weit…

Das geht so lange gut, wie es keinen Exploit für diesen IP Router gibt und die Architektur von KNX Secure bzw. die dazu verwendeten Verschlüsselungs- und Signieralgorithmen nicht geknackt wurden bzw. es keinen Exploit hierfür gibt. Evtl. erinnert sich noch jemand an Heartbleed?

Und v.a. müsste die knx.org sofort alle ETS-Besitzer informieren, so dass ein jeder die notwendigen Sofortmassnahmen treffen kann.

Vollkommen einverstanden, aber wie von mir geschrieben, gibt es evtl. für die anderen Tätigkeiten auch schon Skripts, die irgendwo zirkulieren.

Ich denke nicht, dass das zwingend händisch oder gar mit der ETS passieren muss. Wenn das nicht eh irgendwo standardisiert ist, dann kommuniziert die ETS immer noch im Klartext bei der Geräte-Programmierung. Das sollte sich ohne all zu viel Aufwand reverse engineeren lassen. Wenn das nicht standardisiert ist, ist die Kommunikation zum BAU-Passwort-Setzen höchstwahrscheinlich bei etlichen Geräten gleich, so dass man mit der passenden Auswahl von Geräten und Anlagen auf eine Zerstörungsquote kommen kann, die hoch genug ist, um für das Opfer richtig schmerzhaft zu sein.

Wenn man das einmal verskriptet hat, dann testet man das ein paar mal gegen ein paar Anlagen da draußen, bevor man seine Bot-Farm damit beauftragt, verwundbare Anlagen zu finden und dort stupide bei allen physikalischen Adressen das BAU-Passwort zu setzen, um anschließend Bitcoins für das Passwort anzufragen. Dann würde sich auch schon ein etwas größerer Aufwand zur Schadprodukt-Entwicklung rechnen.

Verstehe ich nicht. Autohersteller informieren auch nicht darüber, dass man ein Auto nicht offen mit gestecktem Zündschlüssel irgendwo abstellen sollte? Wir reden hier nicht von einer Sicherheitslücke, die gehackt wurde und die es seitens der KNX Association zu fixen gilt, sondern von purer Dummheit. Eine Portweiterleitung auf eine KNX Infrastruktur, die keinerlei weitere Schutzmaßnahmen bietet, ist grob fahrlässig. Anders sieht es bei Portweiterleitungen z.B. auf VPN Server aus. Da sind noch andere Mechanismen dahinter, die für Sicherheit sorgen, die es eben bei KNX Schnittstellen nicht gibt. Der Port öffnet sich ja nicht alleine. Es wurde sich bewusst (!) dazu entschieden, den Port 3671 ungeschützt ins Internet zu stellen. Mir ist dabei absolut unverständlich, warum. VPN gibt es auch nicht erst seit 5 Jahren.
Klar ist es unverständlich, dass da einer oder mehrere Zeit investieren, um anderen zu schaden, darüber brauchen wir nicht zu reden. Aber hier so zu tun, als wurde die Sicherheitslücke des Jahrzehnts entdeckt, verstehe ich nicht. Ist nichts gegen Dich oder irgendwen anders persönlich, aber ich verstehe den Hype nicht. Ich mag Vergleiche mit Autos nicht, aber wenn ich mein Auto offen irgendwo stehen lasse oder mein Fahrrad beim Einkaufen nicht abschließe, dann wundere ich mich doch auch nicht, wenn es nach dem Einkauf weg ist?

Einverstanden, aber ich befürchte trotzdem, dass viele sich der Gefahr durch den offenen Port und das nicht gesetzte BAU-Passwort nicht bewusst sind. Und es sind ja nicht gerade wenige, die diesen Port noch offen haben.

Das ist auch so ein Punkt, der mich seit Jahren begleitet. Den Bereich "Portweiterleitung" würde ich jetzt mal nicht in das Fachgebiet eines Elektrikers einordnen. Es mag natürlich auch Ausnahmen geben, keine Frage. Aber grundsätzlich würde ich dieses Thema in den Bereich IT einordnen. Es gibt da draußen leider sehr viele Menschen, die sind der Meinung, sie hätten Ahnung von IT. Das sind dann genau die, die sich so eine Portweiterleitung einrichten. Über die Risiken hat sie keiner aufgeklärt und sie haben sich auch nicht ausreichend mit der Materie beschäftigt, um die Risiken zu kennen. Sie fragen auch niemanden, denn sie haben ja Ahnung von IT. Warum lässt man das nicht einen Fachmann machen? Wenn ich irgendwas mache, wovon ich keine Ahnung habe, dann muss ich am Ende damit leben, dass es nicht fachgerecht und somit scheiße ist. Wenn ich meine Reifen am Auto selbst wechsele, wofür ich persönlich schon gar nicht das richtige Werkzeug habe, dann darf ich mich auch nicht beschweren, wenn der Reifen bei 180 auf der Autobahn wegfliegt. Mist, schon wieder ein Autovergleich. Sorry.

Mir will auch nicht in den Kopf, wie ein Elektriker eine Portweiterleitung als Fernzugang verkaufen kann? Ich als Informatiker verkaufe meinen Kunden doch auch keine Leistungen, die eigentlich in den Bereich des Dachdeckers oder des [hier beliebigen Beruf einsetzen] fallen und von denen ich keine Ahnung habe?

Ich will auch kurz meinen Senf dazu geben^^
Ich bezweifle ebenfalls, dass da jemand mit ner ETS dahinter sitzt.
Das wird was eigen programmiertes sein. Die KNX Spezifikation ist ja im Netz öffentlich verfügbar.
Hier ist 3/3/7 am wichtigsten. Dort ist das Telegram zum Setzen des Bau Passworts enthalten (A_Key_Write-PDU)

Mit vorigem Linienscan reicht ein Connect_Request und der darauf folgende Key_Write. (je nach Gerät wird auch ein Authorize_Request mit dem Standard Key 0xFFFFFFFF benötigt)
Das geht komplett ohne Hersteller oder Applikation gedöhns.

​​Um jeden Key auszuprobieren müssten 4.294.967.296 verschiedene Kombinationen probiert werden.
Wenn ich mich nicht verrechnet habe, müssten das knapp 100 Tage sein.

Dagegen spricht aber, das die Geräte scheinbar im Werkszustand sind. Wenn die nur das BAU Passwort setzen würden, wird es den meisten wahrscheinlich gar nicht mal auffallen.

Dann kannst über die Masken Version auslesen wo die Gruppentabelle ist und löschen.
Oder den Speicher einfach löschen/"Entladen". Die Ladeprozedur dazu ist eigentlich für so ziemlich jede Maskenversion in der knx_master.xml
​​​​​​
​​​

zum Erpressen von Bitcoins zwecks Wiederherstellung müsste:

• die Anlage dahingehend bekannt sein, dass man den Geschädigten irgendwie anonym eine Zahlungsaufforderung zustellen kann. Da zu einer IP-Adresse (grade bei dynamischer Vergabe) nicht unbedingt irgendwo eine Mailadresse zu finden ist, wird dies schon schwer. Ferner wird man das nicht per Post zustellen wollen, zumal diese Adresse noch schwerer zu ermitteln ist. Daher bringt es nichts, wenn man was unter großem Aufwand hackt, Zeit investiert und dann nichts dafür bekommt.
• die Masse zur Verfügung stehen. KNX ist zwar verbreitet ist, aber trotzdem kein Massenmarkt wie es z.B. Windows-PCs sind. Zudem wird nur ein kleiner Teil dieser Anlagen tatsächlich mit offenem Port am Internet hängen, dürfte der Aufwand kaum die Mühe wert sein.
• die gehackte Anlage einen gewissen Wert darstellen. Hier waren es 200 Geräte ohne Funktion, wenn du im Durchschnitt 100 Euro Zeitwert pro Gerät rechnest, beträgt der Schaden 20.000 Euro. Normalerweise hängen professionell betreute Anlagen größerer Ordnung selten offen am Internet; daher würde ich eher einen möglichen Hack im Bereich von klassischen Hausinstallationen verorten. Bei kleinen Hausinstallationen mit Hardwarekosten von 5.000-10.000 Euro wird niemand eine große Summe für das „Baupasswort“ zahlen, sondern eher die Hardware tauschen, zumal der Zeitwert auch da eine Rolle spielt.
• immer sichergestellt sein, dass die verwendeten Bauteile wirklich nicht durch den Hersteller für kleines Geld zurückgesetzt werden können. Sonst ist der Anreiz nicht da, „Lösegeld“ zu zahlen, wenn der Hersteller weniger fürs Rücksetzen haben möchte.
• bisher irgendein Geschädigter eine derartige Forderung erhalten haben. Auch das ist bisher nicht bekannt.

Auf einem gehackten PC kannst du zudem die Forderung nach Bitcoin einblenden, in einer KNX-Umgebung wird es schwer…

Ich vermute weiterhin, dass da ein Insider mit vorhandenem Werkzeug (ETS mit Projektdatei) drin hängt; ein gefrusteter Mitarbeiter, Ex-Mitarbeiter, zechgeprellter Dienstleister oder sonst wer mit einem Motiv, böse Dinge zu machen, die zielgerichtet die andere Partei schädigen soll. Ohne eigenen Vorteil sondern nur, um dem anderen einen Denkzettel zu verpassen.

Für den ist es einfach das durchzuziehen. Projekt öffnen, Baupasswort setzen und alles partionell neu zu programmieren. Ist über WLAN mit erlaubtem Zugriff aus einem Fahrzeug in Gebäudenähe ganz zügig erledigt. Alternativ geht es bei physikalischem Zugriff mittels eines einfach angeklemmten USB-Interface ebenfalls sehr schnell. Abklemmen, verschwinden - fertig…

Das ist eindeutig plausibler, als mit einem großen Aufwand Software zu entwickeln, um für wenige Anlagen Geld zu erpressen.
Und das immer noch mit der Gefahr kein Geld zu bekommen, weil der Hersteller eventuell die Hardware zurücksetzen kann, die Komponentenpreise (der Schaden) zu gering ist, oder gar der Eigentümer nicht zu lokalisieren ist und die Forderung ins Leere läuft.

Manche Menschen tun Dinge auch einfach, weil sie es können?

Und selbst wenn ein Stück HW nur 100€ kostet Montage und ggf viel schlimmer Ausfall der Arbeitsfähigkeit im Objekt über Tage.

Kannst auch alle Glastaster auf dem Display mit Deiner Forderung nach BTC fluten.

göran, ich finde deinen vorschlag super! weil man ja beim hacken sehr oft nicht herausfindet, wem die ungeschützte anlage gehört und somit den inhaber auch nicht per mail etc erpressen kann.
so langsam wird aus dem thread eine „how to do“ anleitung!